Google razkrije nepopravljivo varnostno ranljivost v sistemu Windows 8.1

Googlov raziskovalec je razkril nepopravljeno varnostno ranljivost v sistemu Windows 8.1. Googlov raziskovalec je to napako objavil na strani Googlove varnostne raziskave in zanjo velja 90-dnevni rok za razkritje. Če preteče 90 dni brez splošno dostopnega popravka, bo poročilo o napaki samodejno postalo vidno javnosti. Ni podatkov o tem, ali je Microsoft priznal napako in ali delajo na tem. Vendar menim, da je neodgovorna poteza Googla, da objavi ranljivost v izdelkih, kot je Windows 8, ki ga vsak dan uporablja na milijone ljudi.

O napaki so bile objavljene naslednje informacije,

Pri posodobitvi sistema Windows 8.1 sistemski klic NtApphelpCacheControl (koda je dejansko v ahcache.sys) omogoča predpomnjenje podatkov o združljivosti aplikacij za hitro ponovno uporabo, ko se ustvarijo novi procesi. Običajni uporabnik lahko poizveduje po predpomnilniku, vendar ne more dodajati novih predpomnjenih vnosov, saj je operacija omejena na skrbnike. To se preveri v funkciji AhcVerifyAdminContext.

Ta funkcija ima ranljivost, kjer ne preveri pravilno žetona poosebljanja klicatelja, da ugotovi, ali je uporabnik skrbnik. Prebere žeton za poosebljanje klicatelja z uporabo PsReferenceImpersonationToken in nato izvede primerjavo med SID uporabnika v žetonu in SID-jem LocalSystem. Ne preverja ravni poosebljanja žetona, zato je mogoče pridobiti identifikacijski žeton v vaši niti iz lokalnega sistemskega procesa in zaobiti to preverjanje. V ta namen PoC zlorablja storitev BITS in COM, da pridobi žeton poosebljanja, vendar verjetno obstajajo drugi načini.

Gre le za iskanje načina za izkoriščanje ranljivosti. V PoC se izvede vnos v predpomnilnik za izvršljivo datoteko UAC s samodejnim dvigovanjem (recimo ComputerDefaults.exe) in nastavi predpomnilnik tako, da kaže na vnos združljivosti aplikacije za regsvr32, ki prisili podstavek RedirectExe, da znova naloži regsvr32.exe. Ne glede na to, da bi lahko uporabili katero koli izvršljivo datoteko, bi bilo treba najti primerno že obstoječo konfiguracijo združljivosti aplikacije za zlorabo.

Ni jasno, ali je Windows 7 ranljiv, saj ima kodna pot za posodobitev preverjanje privilegijev TCB (čeprav je videti, da je glede na zastavice to mogoče obiti). V operacijskem sistemu Windows 7 ni bilo nobenega truda, da bi ga preverili. OPOMBA: To ni napaka v UAC, samo uporaba samodejnega dviga UAC za namene predstavitve.

PoC je bil preizkušen na posodobitvi sistema Windows 8.1, tako v 32-bitni kot 64-bitni različici. Priporočam, da delujete na 32-bitni različici, da se prepričate. Za preverjanje izvedite naslednje korake:

1) Postavite AppCompatCache.exe in Testdll.dll na disk
2) Zagotovite, da je UAC omogočen, da je trenutni uporabnik skrbnik z deljenim žetonom in da je nastavitev UAC privzeta (brez poziva za določene izvedljive datoteke).
3) Iz ukaznega poziva zaženite AppCompatCache z ukazno vrstico »AppCompatCache.exe c:windowssystem32ComputerDefaults.exe testdll.dll«.
4) Če je uspešno, bi se moralo videti, da se kalkulator izvaja kot skrbnik. Če prvič ne deluje (in dobite program ComputerDefaults), znova zaženite izkoriščanje iz 3, zdi se, da je pri prvem zagonu včasih prišlo do težave s predpomnjenjem/časom.

vir: google preko: Neowin